Ein Dienstleister bittet darum, die Tür aufzuhalten. Ein herrenloser USB-Stick weckt Neugier. Der angebliche IT-Support fordert am Telefon Ihr Passwort. Solche Situationen wirken alltäglich – können aber Teil eines Angriffs sein. Mit Social Engineering manipulieren Angreifer gezielt die Menschen im Unternehmen, um Zugriff auf das Firmennetzwerk und sensible Daten zu erhalten.
Was ist Social Engineering?
Social Engineering bezeichnet die gezielte psychologische Manipulation von Personen mit dem Ziel, vertrauliche Informationen zu erlangen oder sicherheitsrelevante Handlungen auszulösen – etwa die Preisgabe von Zugangsdaten oder die Freigabe einer Zahlung.
Angreifer nutzen dabei typische Verhaltensmuster wie:
- Hilfsbereitschaft
- Respekt vor Autorität
- Zeitdruck
- Angst vor negativen Konsequenzen
- Neugier oder Geltungsbedürfnis
Der entscheidende Punkt: Die technische Sicherheitsarchitektur bleibt oft intakt. Statt Firewalls oder Endpoint-Schutz direkt anzugreifen, umgehen Täter organisatorische und menschliche Kontrollmechanismen.
Social Engineering gehört zu den häufigsten Angriffsmustern, wie u. a. Daten des Cybersecurity-Unternehmens Palo Alto Networks belegen. Oft dient die Manipulation als Einstiegspunkt für weitreichende Angriffe auf die IT-Infrastruktur. Dafür recherchieren die Täter häufig vorab in sozialen Netzwerken oder Geschäftsberichten, um durch Kontext und Informationen glaubwürdig zu wirken.
Merkmale von Social-Engineering-Attacken erkennen
Um einen Cyberangriff dieser Art frühzeitig abzuwehren, sollten Sie die typischen Verhaltensmuster und Vorgehensweisen der Täter kennen. Achten Sie auf folgende Warnsignale:
- Künstlicher Zeitdruck: Sofortige Handlung ohne Rücksprache wird eingefordert.
- Drohkulisse: Es wird mit Kontosperrung, Vertragskündigung oder disziplinarischen Folgen gedroht.
- Vorgegebene Autorität: Die Anfrage scheint von einer Führungskraft, einem IT-Administrator oder einer Behörde zu stammen, setzt sie aber unter Zeitdruck und/oder baut eine Drohkulisse auf.
- Ungewöhnlicher Kommunikationsweg: Ein Teammitglied oder eine Führungsperson nimmt plötzlich über ungewöhnliche Kanäle wie Messenger-Dienste, SMS oder eine unbekannte E-Mail-Adresse Kontakt auf.
- Anfragen sensibler Informationen: Fragen nach Passwörtern, internen Prozessdetails oder der Durchführung von Testüberweisungen.
- Emotionale Ansprache: Schmeichelei, Mitleid oder vermeintliche Notlagen.
Kombination mehrerer Methoden
In der Praxis kombinieren Täter psychologische Hebel und Kommunikationskanäle.
- Beispiel: Eine Person gibt sich als Administrator aus, kontaktiert Mitarbeitende per Messenger statt über das Ticketsystem und fordert unter Androhung einer Kontosperre die Herausgabe eines Einmalcodes.
- Ebenso möglich: Physischer Zutritt zu Gebäuden durch „Tailgating“ – etwa wenn sich eine unbefugte Person unter einem Vorwand Zugang zu gesicherten Bereichen verschafft.
Für Unternehmen bedeutet das: Social Engineering ist nicht nur ein E-Mail-Problem, sondern betrifft physische Sicherheit, Identitätsmanagement und Prozesskontrollen gleichermaßen.
Arten von Social Engineering
Die Vielfalt der Social-Engineering-Angriffe nimmt stetig zu, wobei die Täter ihre Taktiken und Methoden an die jeweilige Zielgruppe anpassen. Die oben genannten Merkmale lassen sich jedoch bei allen feststellen.
- Phishing: Massenhaft versendete Phishing-Mails mit dem Ziel, Zugangsdaten abzugreifen oder Schadsoftware einzuschleusen.
- Spear-Phishing: Individuell recherchierte Angriffe auf einzelne Personen oder Funktionen.
- Whaling: Spear-Phishing gegen Geschäftsführung oder Top-Management, häufig mit Fokus auf Finanztransaktionen.
- Vishing: Telefonbasierter Betrug, etwa durch vorgetäuschten IT-Support.
- Smishing: SMS- oder Messenger-Nachrichten mit schädlichen Links. Diese können etwa schädliche Links enthalten, um das Handy mit Malware zu infizieren.
- Baiting: Platzierung infizierter Datenträger (z. B. USB-Sticks) oder Download-Angebote.
- Pretexting: Aufbau eines glaubwürdigen Vorwands zur gezielten Informationsbeschaffung.
- Tailgating/Piggybacking: Unbefugter physischer Zutritt zu Sicherheitsbereichen durch Ausnutzen von Höflichkeit oder Routine.
- Scareware: Falsche Warnmeldungen, die zur Installation vermeintlicher Sicherheitssoftware drängen.
- Quishing: Manipulierte QR-Codes, um Personen mit Mobilegeräten wie Firmenhandys auf Phishing-Seiten zu locken oder Malware zu verbreiten.
Beispiele: Prominente Vorfälle der letzten Jahre
Angriff auf MGM Resorts International und Caesars Entertainment (2023)
Im Jahr 2023 griff eine Hackergruppe die Hotel- und Casinobetreiber MGM Resorts und Caesars Entertainment erfolgreich mit einer Social-Engineering-Kampagne an. Die Angreifer recherchierten Informationen auf Plattformen wie LinkedIn und nutzten Vishing, um IT-Mitarbeiter zu täuschen. Dabei handelte es sich im Falle von MGM Resorts um den internen IT-Helpdesk, bei Caesars Entertainment um einen externen IT-Dienstleister.
So verschafften sich die Angreifer Zugriff auf interne Systeme beider Unternehmen. Danach starteten sie einen Ransomware-Angriff auf MGM Resorts. Der Schaden belief sich auf etwa 100 Millionen US-Dollar. Von Ceasars Entertainment erbeutete die Hackergruppe sensible Daten und forderte ein hohes Lösegeld. Das Unternehmen zahlte etwa 15 Millionen US-Dollar.
Spear-Phishing-Angriff auf Twitter
Wenn Prominente wie Barack Obama plötzlich Werbung für Kryptowährung machen, sollte das Misstrauen wecken. So geschehen beim Angriff auf Twitter (heute X) im Jahr 2020: Durch gezieltes Spear-Phishing gegen Mitarbeitende erlangten die Täter Zugriff auf interne Administrations-Tools. Dadurch konnten sie Zugangsdaten ändern und Accounts übernehmen. Die Konten bekannter Persönlichkeiten wie Barack Obama und Elon Musk nutzten sie für Kryptowährungs-Betrug.
FACC und der CEO-Fraud
Im Jahr 2016 wurde der österreichische Flugzeugzulieferer FACC Opfer eines CEO-Fraud-Angriffs. Cyberkriminelle fälschten eine E-Mail-Adresse des Vorstandsvorsitzenden, um eine vermeintlich geheime und dringende Überweisung für eine Firmenübernahme zu autorisieren. Der Schriftverkehr umfasste etwa 40 E-Mails, um Vertrauen aufzubauen.
Der finanzielle Schaden belief sich auf insgesamt rund 50 Millionen Euro. Sowohl der CEO als auch die Finanzchefin wurden nach Bekanntwerden des Schadens vom Aufsichtsrat entlassen.
Social Engineering verhindern
Social Engineering ist schwer abzuwehren, da es auf die „Schwachstelle Mensch“ und nicht auf technische Infrastruktur zielt. Daher braucht es eine Kombination aus Bewusstsein in der Belegschaft und technischer Sicherheit.
1. Klare Prozesse etablieren
- Verbindliche Freigabeprozesse für Finanztransaktionen (z. B. Vier-Augen-Prinzip).
- Klare Regeln: Keine Passwort- oder Code-Weitergabe – auch nicht an interne IT-Stellen.
- Definierte Meldewege für verdächtige Anfragen.
2. Regelmäßige Schulungen
- Awareness-Trainings mit realistischen Szenarien.
- Simulierte Phishing-Kampagnen zur Erfolgsmessung.
- Sensibilisierung für physische Sicherheitsrisiken (Zutrittskontrolle).
3. Technische Schutzmaßnahmen
- Multi-Faktor-Authentifizierung (MFA) für möglichste alle Systeme und Anwendungen.
- Least-Privilege-Prinzip für administrative Zugänge.
- E-Mail-Security-Gateways mit URL- und Attachment-Scanning.
- Monitoring von Anmeldeanomalien und risikobasiertes Access Management.
- Regelmäßige Back-ups zur Schadensbegrenzung bei Folgeschäden.
Social Engineering im Überblick
Social Engineering …
- zielt auf die „Schwachstelle Mensch“, um technische Sicherheitsvorkehrungen zu umgehen und z. B. Zugangsdaten zu erbeuten.
- versucht Menschen emotional zu beeinflussen. Z. B. durch Druck, Autorität, Schmeichelei oder Ausnutzen der Hilfsbereitschaft.
- hat viele Methoden wie Phishing, Vishing, Smishing, Tailgating und Pretexting.
- lässt sich durch geschultes Personal, klare Sicherheitsrichtlinien und mit technischen Mitteln erkennen und abwehren.
Quelle:
https://www.o2business.de/magazin/social-engineering/